SonicWall SSLVPN: Sicherheitslücken breit ausgenutzt

Publiziert am 12. Oktober 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Die Sicherheitsexperten von Huntress beobachten seit dem 4. Oktober 2025 einen sprunghaften Anstieg von kompromittierten SonicWall SSLVPN-Instanzen. Die Art der Angriffe und die Schnelligkeit, mit der die Angreifer in die Systeme eindringen, lässt die Vermutung zu, dass diesen gültige Anmeldedaten bekannt sind.

Der Cloud-Backup-Vorfall

Kürzlich gab es bei SonicWall einen Sicherheitsvorfall, bei dem Backup-Dateien der Firewall-Konfiguration offengelegt wurden. Unbefugte konnten diese Informationen per Internet einsehen. SonicWall hatte den Vorfall am 17. September 2025 durch den Support-Beitrag MySonicWall Cloud Backup File Incident offen gelegt. Ich hatte im Beitrag MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt berichtet.

Inzwischen ist bekannt, dass alle Kunden, die MySonicWall Cloud Backup genutzt haben, von diesem Vorfall betroffen sind (siehe MySonicWall Cloud Backup File Incident: Alle Kunden betroffen). Zudem ist bekannt, dass die Ransomware-Gruppe Akira SonicWall VPN-Konto hackt und auch eine MFA-Absicherung umgehen kann (siehe Akira hackt SonicWall VPN-Konten (auch mit MFA-Absicherung)). So viel als Vorbemerkung zu nachfolgenden Abschnitten.

Angriffe auf SonicWall SSLVPN-Instanzen

Sicherheitsanbieter Huntress beobachtet seit dem 4. Oktober 2025 eine Kampagne erfolgreicher Angriffe auf SonicWall SSLVPN-Instanzen, die bis zum 10. Oktober 2025 anhielt. Das geht aus nachfolgendem Tweet vom 11. Oktober 2025 hervor.

Angriffe auf SonicWall SSLVPNs

Die Angreifer authentifizieren sich schnell über verschiedene Geräte hinweg, wodurch Huntress schließt, dass dabei gültige Anmeldedaten verwendet werden und die Kompromittierung nicht auf Brute-Force-Angriffe zurück geht.

  • Bis zum 10. Oktober 2025 wurden über 100+ SSLVPN-Konten kompromittiert.
  • Es sind 16 Organisationen von diesen erfolgreichen Angriffen betroffen.
  • Die Aktivitäten begannen ab dem 4. Oktober 2025 von der IP: 202.155.8[.]73

Es wurden teilweise passive Zugriffe beobachtet. Weitere Aktivitäten der Aktivitäten umfassten Scans und Zugriff auf Windows-Konten.

Was man tun sollte

Huntress gibt in nachfolgendem Tweet einige Ratschläge, was Administratoren von SonicWall SSLVPN-Instanzen dringend tun sollten. Dazu gehören folgende Maßnahmen:

Huntress zu SonicWall SSLVPN-Angriffen

  • den WAN-/Fernzugriff  zu sperren
  • SSLVPN, HTTP/S, SSH bis zur Zurücksetzung der Anmeldedaten deaktivieren
  • ALLE Anmeldedaten + Geheimnisse zurücksetzen
  • Automatisierungsschlüssel, DNS- und SMTP-Anmeldedaten widerrufen
  • MFA überall durchsetzen

Und vor allem sollten die Log-Dateien auf fremde Aktivitäten untersucht werden. Huntress hat diesen Beitrag zum Thema veröffentlicht. Der Artikel hier greift den Gedanken, dass die Angreifer aus den Backups auf die Zugangsdaten schließen konnten und das nun missbrauchen, ebenfalls auf.

Ähnliche Artikel:
MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt
Akira hackt SonicWall VPN-Konten (auch mit MFA-Absicherung)
SonicWall SMA 100 Firmware-Update um Rootkits zu entfernen
Vorzeitige Beendigung des Supports für SonicWall SMA 100
MySonicWall Cloud Backup File Incident: Alle Kunden betroffen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert